信息安全国际标准

信息平安国际标准整理ppt提纲信息平安标准概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕什么是信息平安？保密性

完整性可用性

CONFIDENTIALATYINTEGRITYAVAILABILITY整理ppt什么是标准？标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为根底，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准那么和依据。强制性标准：保障人体健康、人身、财产平安的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。整理ppt无规矩不成方圆无规矩不成方圆!整理ppt提纲信息平安标准概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕标准的来源政府组织NIST-NationalInstituteofStandardsandTechnologyNSA-NationalSecurityAgencyGAO-GeneralAccountingOfficeBSI-BritishStandardInstitution标准化组织ISO/IECJTC1SC27ANSI-AmericanNationalStandardsInstitute专业组织/行业联盟

IEEEIETFW3CISSA-InformationSystemsSecurityAssociationITAA-InformationTechnologyAssociationOfAmerica)大学整理pptISO，国际标准化组织ISO是InternationalOrganizationforStandardization的简称国际最大的标准化组织机构与IEC联合成立的JTC1/SC27负责通用信息技术平安标准的制定ISO/TC68负责银行和金融效劳业务应用范围内信息平安标准的制定已发布的其他行业的重要标准ISO9001ISO14001整理pptIEC，国际电工委员会IEC是InternationalElectrotechnicalCommission的简称世界上最早的国际性电工标准化机构负责有关电工、电子领域的国际标准化工作在信息平安技术标准化方面，同ISO联合成立JTC1在电磁兼容EMC等方面成立技术委员会，制定相关国际标准整理pptISO/IECJTC1/SC27–JTC1(JointTechnicalCommittee1)是ISO及IEC的联合技术委员会,SC27小组专门负责平安技术标准的制定、审核–已发布的局部标准ISO/IEC18033加密机制ISO/IEC9796,14888.15964数字签名ISO/IECTR13335GMITSISO/IEC15408EvaluationcriteriaforITSecurityISO/IEC17799CodeofPracticeforInformationSecurityManagementISO/IEC21287SSE-CMM整理pptNIST，国家标准技术协会NIST是美国NationalInstituteofStandardsandTechnology的简称已发布的局部文献FIPS〔FederalInformationProcessingStandardsPublications〕FIPSPUB140-2SecurityRequirementsforCryptographicModulesFIPSPUB180-1SecureHashStandardFIPSPUB197AdvancedEncryptionStandardSP〔SpecialPublications800series是关于计算机平安的文献〕SP800-12ComputerSecurityHandbookSP800-30RiskManagementGuideforITSystemsSP800-44GuidelinesonSecuringPublicWebServers整理ppt其他组织ANSI，美国国家标准协会80年代初开始数据加密标准化工作制定了三个通用的国家标准ANSIX.9系列财务效劳平安标准ITU-T，国际电讯联盟前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统〔X.400系列、X.500系列〕和平安框架、平安模型等标准ITU-TX.509TheDirectory:AuthenticationFramework整理ppt其他组织IEEE-电气电子工程师协会在信息平安方面主要是提出了LAN/WAN平安方面的标准和公钥密码标准IETF-Internet工程任务组主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括平安方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准整理ppt提纲概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕平安标准的类型安全管理框架安全技术标准安全方法论产品的安全性保证安全工程标准安全的资格认证整理ppt提纲概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕平安管理框架OSI–ISO7498-2/10181开放系统互连第二局部平安体系结构，10181是7498-2的后续标准，分局部描述5类平安效劳的实现GMITS,GuidelinesfortheManagementofITSecurityISO/IEC13335GuidelinesfortheManagementofITSecurity提供IT平安管理的指导BS7799AS/NZS4444ISO/IEC17799信息平安管理的即成标准提供企业开发、实施、评估有效平安建设的框架ISFSOGPInformationSecurityForum(ISF),信息平安优秀实践标准〔StandardofGoodPracticeforInformationSecurity,1998〕整理pptBS7799介绍BS7799AS/NZS4444ISO/IEC17799信息平安管理的即成标准提供企业开发、实施、评估有效平安建设的框架BS7799包括两局部第一局部:提供平安管理的最正确实践，等同于ISO/IEC17799:2000提供10个领域的127项平安措施整套的基于业界经验的平安性最正确实践的指导第二局部ISMS标准SpecificationforISMS(InformationSecurityManagementSystems)提供依据第一局部进行内部审计、外部认证的流程体系整理ppt什么是ISO17799/BS7799？关注于平安管理的框架和指导提供了10个方面36个平安目标，127项平安控制措施，建立了BestPractice指引；广泛应用于在政府、企业、金融、电信等行业，应用最广泛的平安标准1993–1995DepartmentofTradeandIndustry(UK)建立工作组进行信息系统安全研究1995BS7799正式发布1998BS7799:PART2ISMS发布1999BS7799：1999发布ISO/IEC17799:2000整理ppt17799的十个方面SecurityPolicy安全策略SecurityOrganization组织安全PersonnelSecurity人员安全AssetClassificationandControl资产分类与控制PhysicalandEnvironmentalSecurity物理与环境安全Communications&OperationsManagement通信与运作管理BusinessContinuityPlanning业务持续性管理SystemDevelopmentandMaintenance系统开发与维护AccessControl访问控制Compliance符合性整理pptISO17799的文档结构分为10个领域的平安实践建议分为36个子项，共127项平安控制措施平安方针〔1〕组织平安〔3〕资产分类与控制〔2〕人员平安〔3〕物理与环境平安〔3〕通信与操作平安〔7〕访问控制〔8〕系统开发与维护〔5〕业务持续方案〔1〕依从〔3〕整理ppt平安策略控制目标:信息平安策略为信息平安提供管理指导和支持控制措施:信息平安策略文件复查和审查整理ppt组织平安控制目标一:信息平安根底设施管理组织内部的信息平安控制目标二:第三方访问平安维护被第三方访问的根底设施和信息资产的平安控制目标三:外包当IT外包给其他组织负责时,维护信息的平安整理ppt资产分类与控制控制目标一:资产责任保证对组织资产做适当的保护控制目标二:信息分类确保信息资产得到适当级别的保护整理ppt人员平安控制目标一:岗位平安责任和人员录用要求控制目标二:用户培训控制目标三:对平安事件和故障的响应整理ppt物理与环境平安控制目标一:平安区域防止非授权访问控制目标二:设备平安防止资产的丧失,破坏和损坏;防止业务活动被中断控制目标三:一般性控制防止危害或窃取信息及设施整理ppt通信和操作平安控制目标一:操作流程和责任控制目标二:系统规划和验收控制目标三:防范恶意软件控制目标四:内务管理(备份,日志)控制目标五:网络管理控制目标六:介质处理及平安控制目标七:信息和软件的交换整理ppt访问控制控制目标一: 访问控制的业务需求控制目标二:用户访问管理控制目标三:用户责任控制目标四:网络访问控制控制目标五:操作系统访问控制控制目标六:应用系统访问控制控制目标七:监视系统访问和使用控制目标八:移动计算和通信整理ppt系统开发和维护控制目标一:系统的平安需求控制目标二:应用系统的平安控制目标三:密码控制控制目标四:系统文件的平安控制目标五:开发和支持过程的平安整理ppt业务连续性管理控制目标:业务连续性管理的各个方面控制措施业务连续性管理过程业务连续性和影响分析编写并实施连续性方案业务连续性方案框架测试,维护和复审业务连续性方案整理ppt符合性控制目标一:符合法律要求控制目标二:对平安策略和技术的评审控制目标三:系统审核的考虑整理pptBS7799第2局部BS7799PART2是一个标准。使用该标准对组织的信息平安管理体系进行审核与认证。通过使用该标准能使组织建立信息平安管理体系〔ISMS〕。该标准提供以下内容建立信息平安管理体系〔ISMS〕指导成功实施信息平安的关键因素PDCA(Plan-do-check-act)模型持续性改进改进平安管理评估业务变化、新技术、新威胁对平安管理流程的影响PlanISMS确实立DoISMS的运用CheckISMS的监控ActISMS的改善PDCA模型整理ppt什么是ISO-7498-2信息处理系统开放系统互连根本参考模型第2局部:平安体系结构

Informationprocessingsystem--OpenSystemsInterconnection--BasicReferenceModel--Part2:Securityarchitecture提供平安效劳与有关机制的一般描述,这些效劳与机制可以为GB9387—88/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些效劳与机制的位置已被接受为国标GB/T9387.2—1995整理ppt五种平安效劳认证对等实体认证数据原发认证访问控制

数据机密性连接机密性无连接机密性选择字段机密性通信业务流机密性数据完整性

带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段无连接完整性抗抵赖

有数据原发证明的抗抵赖有交付证明的抗抵赖整理ppt八种平安机制特定的平安机制用来实现以上平安效劳加密数字签名机制访问控制机制数据完整性机制认证交换机制通信业务填充机制提供各种不同级别的保护,抵抗通信业务分析路由选择控制机制公证机制整理ppt效劳与机制的关系机制服务加密数字签名访问控制数据完整性认证交换通信业务填充路由控制公证对等实体认证

数据原发认证

访问控制服务

连接机密性

无连接机密性

选择字段机密性

通信业务流机密性

带恢复的连接完整性

不带恢复的连接完整性

选择字段连接完整性

无连接完整性

选择字段无连接完整性

抗抵赖,带数据原发证据

抗抵赖,带交付接收证据

整理ppt效劳应用与OSI层的关系OSI层服务物理层链路层网络层传输层会话层表示层应用层对等实体认证

数据原发认证

访问控制服务

连接机密性

无连接机密性

选择字段机密性

通信业务流机密性

带恢复的连接完整性

不带恢复的连接完整性

选择字段连接完整性

无连接完整性

选择字段无连接完整性

抗抵赖,带数据原发证据

抗抵赖,带交付证据

整理ppt平安管理平安管理信息库(SMIB)是一个概念上的集存地,存储开放系统所需的与平安有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现方法,例如:a)数据表;b)文卷;c)嵌入实开放系统软件或硬件中的数据或规那么。OSI平安管理的分类：系统平安管理—涉及总的OSI环境平安方面的管理；例：总体平安策略的管理、与别的OSI管理功能的相互作用、与平安效劳管理和平安机制管理的交互作用、事件处理管理、平安审计管理、平安恢复管理平安效劳管理—涉及特定平安效劳的管理；例：指定特定效劳的保护目标、指定与维护特定的平安机制、平安机制协商(本地的与远程的)、调用特定的平安机制、与别的平安效劳和平安机制的交互作用平安机制管理—涉及的是特定平安机制的管理。例：密钥管理、加密管理、数字签名管理、访问控制管理等等OSI管理本身的平安—所有OSI管理功能和信息自身的平安。这一类平安管理将借助OSI平安效劳与机制以确保OSI管理协议与信息获得足够的保护。整理ppt作为ISO7498-2的后续标准，1988年开始建立ISO/IEC10181ISO/IEC10181(Securityframeworksforopensystems)有七个局部第2-6局部对应ISO7498-2定义的5种效劳Part1:概述Part2:认证效劳架构Part3:访问控制效劳架构Part4:防抵赖效劳架构Part5:数据保密效劳架构Part6:数据完整效劳架构Part7:平安审计、报警架构ISO/IEC10181整理ppt什么是ISO13335ISO/IEC13335，即IT平安管理指南〔GuidelinesfortheManagementofITSecurity,GMITS〕,是由ISO/IECJTC制定的技术报告ISO/IEC13335是一个信息平安管理方面的指导性标准其目的是为有效实施IT平安管理提供建议

整理pptISO13335(GMITS)的内容13335-1:IT平安概念和模型包含了对IT平安和平安管理中一些根本概念和模型的解释13335-2:IT平安方案和管理 建议性地介绍了IT平安管理和方案的方式和要点13335-3:IT平安管理技术描述了风险管理技术、IT平安方案的开发、实施和测试还包括策略审查、事件分析、IT平安教育等后续内容。13335-4:平安措施的选择描述了针对一个组织特定环境和平安需求可以选择的平安措施,不仅仅是技术性措施13335-5:网络平安的管理指导提供了关于网络和通信平安管理的指导性内容,该指南为识别和分析建立网络平安需求时需要考虑的通信相关因素提供支持,也包括对可能的平安措施方面的简要介绍整理pptISO13335vs.BS7799与BS7799相比，ISO/IEC13335只是一个技术报告和指导性文件，并不是可依据的认证标准也不像BS7799那样给出一个全面而完整的信息平安管理框架但13335在信息平安尤其是IT平安的某些具体环节切入较深，对实际的工作具有较好的指导价值，从可实施性上来说要比BS7799好些另外13335对平安方案、平安策略、控制措施选择的内容的阐述要比BS7799具体很多总之，作为一个框架、总体要求和目标选择，BS7799是我们信息平安管理体系建设过程中要贯彻的指导方针，而这期间的一些具体的活动那么可以参考13335，比方风险评估。整理ppt提纲概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕PKIFireWallLDAPVPNIDSAAAScannerSSO平安技术标准•ApplicationProtocols –SSL,S-HTTP•NetworkProtocols –IPSec•Cryptography–RSA,DSA,ECC–DES,AES–SHA-1–PKCSVulnerabilityCVE

Authentication–Kerberos–RADIUS–SAML•Messaging–S/MIME,OpenPGP,PEM–XMLDSIG,XMLENC•ApplicationSecurity–CORBASecurity–WS-Security整理ppt提纲概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕产品平安性保证标准CommonCriteria(CC)–ISO/IEC15408EvaluationcriteriaforITSecurity–针对产品或组件的保证标准e.g.Firewalls,IDS,OS–定义了7个EvaluationAssuranceLevels(EAL)一级最低，七级最高1996年国际上的六个国家〔美、加、英、法、德、荷〕联合提出了信息技术平安评价的通用准那么〔CC〕。CC的根底是欧州的ITSEC，美国的包括TCSEC在内的新的联邦评价标准，加拿大的CTCPEC，以及国际标准化组织ISO:SC27WG3的平安评价标准。TrustedComputerSystemEvaluationCriteria〔TCSEC〕TheOrangeBook分为D/C1/C2/B1/B2/B3/A1七个等级C2-局部OS有:VMS,IBMOS/400,WindowsNT,NovellNetWare4.11,Oracle7,DGAOS/VSII.B1-局部OS有:HP-UXBLS,CrayResearchTrustedUnicos8.0,DigitalSEVMS,HarrisCS/SX,SGITrustedIRIX.B2-局部OS有:HoneywellMultics,CryptekVSLAN,TrustedXENIXB3-仅有的OS:Getronics/WangFederalXTS-300A1-BoeingMLSLAN,GeminiTrustedNetworkProcessor,HoneywellSCOMP.FIPSPUB140-2–Cryptographic模块的平安要求标准–定义了4个等级。整理ppt美国TCSEC1970年由美国国防部提出。1985年公布。主要为军用标准。延用至民用。平安级别从高到低分为A、B、C、D四级，级下再分小级。彩虹系列桔皮书：可信计算机系统评估准那么 黄皮书：桔皮书的应用指南红皮书：可信网络解释紫皮书：可信数据库解释整理ppt美国TCSECD:最小保护MinimalProtectionC1:自主安全保护DiscretionarySecurityProtectionC2:访问控制保护ControlledAccessProtectionB1:安全标签保护LabeledSecurityProtectionB2:结构化保护StructuredProtectionB3:安全域保护SecurityDomainA1:验证设计保护VerifiedDesign低保证系统高保证系统整理pptCC标准的开展历程整理pptCC驱动因素整理pptCC要实现的目标成为统一的国际〔通用〕IT产品和系统平安标准目前，CC已经成为ISO国际标准〔15408〕在不同国家间达成协议，相互成认产品评估为开发者拓展国际舞台改善IT平安产品在全世界的可用性整理pptCC的目标读者消费者-具有IT平安功能的产品购置指南产品开发者和集成商-具有IT平安功能的产品的开发根底评估员-IT平安产品的评估根底审核员,认证人员,授权人员-对他们的特定应用给予支持整理pptCC的内容组织整理pptCC定义了两类平安需求整理pptCC的关键概念评估目标(TOE)IT产品或系统及其相关的管理指南和用户指南等文档，是评估的对象保护轮廓(ProtectProfilePP)满足特定消费者需求的、独立于实现的、关于某一类TOE的一组平安要求〔用户提出要求〕平安目标(SecurityTargetST)依赖于实现的一组平安要求和说明，作为指定TOE的评估根底〔开发者给出〕整理ppt用户借助PP定义需求整理ppt厂商使用ST对用户需求做出响应整理pptPP、ST和TOE之间的关系整理ppt评估保证等级整理pptCC总体结构整理ppt平安产品评估框架模型整理pptCCvs.BS7799都是认证标准，但是对象不同，CC评估的对象是系统和产品，而7799关注的信息平安管理在依照BS7799标准来实施ISMS时，一些涉及系统和产品平安的技术要求，可以参考CC整理ppt提纲概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕什么是SSE-CMMSSE-CMM是系统平安工程能力成熟模型〔SystemsSecurityEngineeringCapabilityMaturityModel〕的缩写，它描述了一个组织的平安工程过程必须包含的本质特征，这些特征是完善的平安工程保证,为平安工程的应用提供了一个衡量和改进的途径现代统计过程控制理论说明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低本钱地生产出高质量产品SSE-CMM工程的目标是促进平安工程成为一个确定的、成熟的和可度量的科目SSE-CMM工程进展来自于平安工程业界、美国国防部和加拿大通讯平安机构积极参与和共同的投入1995成立工程组1996SSE-CMMv1正式发布1997SSE-CMM评定方法发布1999SSE-CMMv2发布2002ISO/IEC218272003SSE-CMMv3发布整理pptSSE-CMM模型结构BasePracticesGenericPracticesProcessAreasProcessCategoryProcessAreasBasePracticesDomainCommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPracticesGenericPracticesBasePracticesBasePracticesBasePracticesBasePracticesProcessAreasProcessAreasCapability

LevelCommonFeaturesCommonFeaturesCapability二维结构：Domain,CapabilityDomain包含平安工程中的实践领域，分为3个主要的Process类，22个PA，130多项BPCapability表示过程管理、衡量及制度化的能力，共分为5级，下面细分为12个CommonFeatures，以及近30个GenericPractices整理ppt5级成熟能力12345非正式执行–没有控制计划并跟踪-引入了计划、跟踪和管理，周期性的评估执行的效果，并定义了改进过程；适当定义-在组织内建立并共享bestPractices量化控制-收集量化指标，进行量化管理持续改进整理ppt系统平安工程过程整理ppt风险过程整理ppt工程过程整理ppt保证过程整理pptSSE-CMM与ISO17799的内容比较SSE-CMMISO17799PA01：管理安全性控制(4BP)Section5,PersonnelSecuritySection6,CommunicationsandoperationsManagementSection8,SystemsDevelopmentandMaintenancePA02：评估影响(6BP)IntroductionPA03：评估风险(6BP)IntroductionPA04：评估威胁(6BP)IntroductionPA05：评估脆弱性(5BP)IntroductionPA06：建立保证论据(5BP)Section10,CompliancePA07：协调安全性(4BP)Section2,SecurityOrganizationSection6,CommunicationsandoperationsManagementPA08：监视安全状态(7BP)Section10,CompliancePA09：提供安全性条件(6BP)Section1,SecurityPolicySection3,AssetClassificationandControlSection5,PhysicalandEnvironmentalSecurityPA10：特殊的安全性需求(11BP)Section1,SecurityPolicySection7,AccessControlSection8,SystemsDevelopmentandMaintenanceSection9,BusinessContinuityPlanningPA11：确认和证实（5BP）Section10,Compliance整理ppt提纲概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕平安方法论AS/NZS4360澳洲/新西兰风险管理标准提供建立、实施风险管理过程的指导NISTSP800-30RiskManagementGuideforITSystems建立、实施风险管理过程的指导OCTAVEOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation由CMU-SEI〔CarnegieMellonUniversity-SoftwareEngineeringInstitute〕建立的风险评估方法论整理ppt提纲概述平安标准组织平安标准分类平安管理标准〔ISO17799〕平安技术标准平安产品标准〔CC〕平安工程标准〔SSE-CMM〕平安方法论平安资格认证〔CISSP/CISA〕平安资格认证标准：CISSP•CertifiedInformationSystemsSecurityProfessional(CISSP)–由美国(ISC)2进行认证管理–十个CommonBodyofKno